注意事項

Question 1

的目的ssh-keygen -R不是避免使用sed，而是刪除例如sed無法找到的雜湊主機。從ssh-keygen(1)：

-R hostname

hostname從檔案中刪除屬於的所有鍵known_hosts。此選項對於刪除雜湊主機很有用（請參閱-H上面的選項）。

-H

對文件進行哈希處理known_hosts。這會將指定檔案中的所有主機名稱和位址替換為雜湊表示形式；原始內容被移動到帶有後綴的文件中.old。這些哈希值通常可以被ssh和所使用sshd，但如果文件內容被洩露，它們不會洩露識別資訊。此選項不會修改現有的雜湊主機名，因此可以安全地在混合雜湊名稱和非雜湊名稱的檔案上使用。

注意事項

避免碰撞

請注意，最好使用以 Base64 編碼的完整公鑰，以避免刪除其他密鑰。例如，如果您只使用部分標頭你最終會刪除相同類型的所有鍵：

Base64	ASCII碼	參考號
`AAAAE2VjZHNhLXNoYTItbmlzdHAyNTY` `AAAAIbmlzdHAyNTYAAABBB`	`....ecdsa-sha2-nistp256` `....nistp256...A`	RFC 5656，3.1
`AAAAC3NzaC1lZDI1NTE5AAAAIFKy`	`....ssh-ed25519... R²`	RFC 8709, 4
`AAAAB3NzaC1yc2EAAAADAQABAAABAQ`	`...ssh-rsa...........`	RFC 4253，6.6

調整您的`sed`Base64

Base64 編碼的公鑰包含字元A-Za-z0-9+/=。由於它可以包含範例/中使用的sed，因此您想使用另一個字符，例如:。

工作範例

在範例中：

這AAAA+OLD/KEY=是一個佔位符滿的舊的公鑰。
這AAAA+NEW/KEY=是一個佔位符滿的新的公鑰。

刪除所有具有相同金鑰的主機

使用完整的舊金鑰刪除包含它的所有行：

sed -i ':AAAA+OLD/KEY=:d' ~/.ssh/known_hosts

用新鑰匙取代舊鑰匙

使用完整鍵（舊的和新的）在包含舊鍵的所有行上替換它：

sed -i 's:AAAA+OLD/KEY=:AAAA+NEW/KEY=:g' ~/.ssh/known_hosts

如果金鑰類型也發生變化，則必須將其包含在內，例如，

sed -i 's:ssh-rsa AAAA+OLD/KEY=:ecdsa-sha2-nistp256 AAAA+NEW/KEY=:g' ~/.ssh/known_hosts

刪除主機名稱或 IP 的鍵

這是您將使用的唯一用例ssh-keygen。

ssh-keygen -R example.com

ssh-keygen -R 192.0.2.1

Answer

的目的ssh-keygen -R不是避免使用sed，而是刪除例如sed無法找到的雜湊主機。從ssh-keygen(1)：

-R hostname

hostname從檔案中刪除屬於的所有鍵known_hosts。此選項對於刪除雜湊主機很有用（請參閱-H上面的選項）。

-H

對文件進行哈希處理known_hosts。這會將指定檔案中的所有主機名稱和位址替換為雜湊表示形式；原始內容被移動到帶有後綴的文件中.old。這些哈希值通常可以被ssh和所使用sshd，但如果文件內容被洩露，它們不會洩露識別資訊。此選項不會修改現有的雜湊主機名，因此可以安全地在混合雜湊名稱和非雜湊名稱的檔案上使用。

注意事項

避免碰撞

請注意，最好使用以 Base64 編碼的完整公鑰，以避免刪除其他密鑰。例如，如果您只使用部分標頭你最終會刪除相同類型的所有鍵：

Base64	ASCII碼	參考號
`AAAAE2VjZHNhLXNoYTItbmlzdHAyNTY` `AAAAIbmlzdHAyNTYAAABBB`	`....ecdsa-sha2-nistp256` `....nistp256...A`	RFC 5656，3.1
`AAAAC3NzaC1lZDI1NTE5AAAAIFKy`	`....ssh-ed25519... R²`	RFC 8709, 4
`AAAAB3NzaC1yc2EAAAADAQABAAABAQ`	`...ssh-rsa...........`	RFC 4253，6.6

調整您的`sed`Base64

Base64 編碼的公鑰包含字元A-Za-z0-9+/=。由於它可以包含範例/中使用的sed，因此您想使用另一個字符，例如:。

工作範例

在範例中：

這AAAA+OLD/KEY=是一個佔位符滿的舊的公鑰。
這AAAA+NEW/KEY=是一個佔位符滿的新的公鑰。

刪除所有具有相同金鑰的主機

使用完整的舊金鑰刪除包含它的所有行：

sed -i ':AAAA+OLD/KEY=:d' ~/.ssh/known_hosts

用新鑰匙取代舊鑰匙

使用完整鍵（舊的和新的）在包含舊鍵的所有行上替換它：

sed -i 's:AAAA+OLD/KEY=:AAAA+NEW/KEY=:g' ~/.ssh/known_hosts

如果金鑰類型也發生變化，則必須將其包含在內，例如，

sed -i 's:ssh-rsa AAAA+OLD/KEY=:ecdsa-sha2-nistp256 AAAA+NEW/KEY=:g' ~/.ssh/known_hosts

刪除主機名稱或 IP 的鍵

這是您將使用的唯一用例ssh-keygen。

ssh-keygen -R example.com

ssh-keygen -R 192.0.2.1

Question 2

首先避免這個問題是一個很好的解決方案。如果known_hosts 沒有填入給定主機名稱的每個IP 的項目，則無需搞亂sed。ssh_keygen -R hostname足以執行密鑰輪換。

所以我的解決方案是在 ssh 配置中設定CheckHostIP為。no

SSH 選項 CheckHostIP=yes 對我有何幫助？

Answer

首先避免這個問題是一個很好的解決方案。如果known_hosts 沒有填入給定主機名稱的每個IP 的項目，則無需搞亂sed。ssh_keygen -R hostname足以執行密鑰輪換。

所以我的解決方案是在 ssh 配置中設定CheckHostIP為。no

SSH 選項 CheckHostIP=yes 對我有何幫助？

注意事項

答案1

注意事項

避免碰撞

調整您的`sed`Base64

工作範例

刪除所有具有相同金鑰的主機

用新鑰匙取代舊鑰匙

刪除主機名稱或 IP 的鍵

答案2

相關內容

答案1

注意事項

避免碰撞

調整您的sedBase64

工作範例

刪除所有具有相同金鑰的主機

用新鑰匙取代舊鑰匙

刪除主機名稱或 IP 的鍵

答案2

相關內容

調整您的`sed`Base64